DNSSEC, DANE & CAA für Proton Mail (Custom Domain)
Proton Mail bietet kein eigenes DNS-Hosting für Custom-Domains — DNSSEC, DANE TLSA und CAA müssen beim externen DNS-Provider Ihrer Wahl konfiguriert werden. Diese Anleitung zeigt die NIS2-konforme Absicherung mit Schweizer revDSG-Compliance und Anti-CLOUD-Act-Hintergrund.
DNS-Sicherheit für Proton Mail Custom Domains
Proton Mail (Proton AG, Genf, Schweiz) stellt das Mail-Backend bereit — DNS-Hosting für Custom-Domains erfolgt NICHT bei Proton. Die offizielle Proton-Dokumentation (proton.me/support/custom-domain, Abruf 2026-05-16) verlangt: „Log in to your DNS console (located on the platform where you purchased the custom domain).“ DNSSEC, DANE TLSA-Records (provider-side) und CAA-Records werden daher beim externen DNS-Provider Ihrer Wahl konfiguriert — Proton-Doku erwähnt DNSSEC nicht explizit, die Aktivierung ist Best Practice nach RFC 4033 und NIS2 Art. 21 Abs. 2 lit. h.
Schweizer Compliance + Anti-CLOUD-Act: Proton AG ist ein Schweizer Unternehmen, alle Server stehen in der Schweiz — kein US-CLOUD-Act-Risiko, kein DSGVO-Schrems-II-Problem. Das revidierte Datenschutzgesetz (revDSG Art. 8) fordert Datensicherheit nach Stand der Technik; DNSSEC erfüllt diese Anforderung auf der DNS-Schicht. Proton selbst betreibt zusätzlich Proton Sentinel (Anti-Spam + Phishing-Schutz) und unterstützt MTA-STS und DANE für die Proton-MX-Hostnamen mail.protonmail.ch und mailsec.protonmail.ch.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → MTA-STS → DNSSEC + DANE + CAA (dieser Guide). Bedrohungs-Cluster: DNS-Hijacking-Spoofing und SubdoMailing.
Externen DNS-Provider wählen und DNSSEC aktivieren
Proton Mail hostet kein DNS für Custom-Domains. DNSSEC wird beim DNS-Provider Ihrer Custom-Domain aktiviert. Für Schweizer Datensouveränität (passend zu Proton): Hostpoint oder Infomaniak. Für EU-Datensouveränität: deSEC (Berlin), IONOS, Netcup. Für globale Anycast-Performance: Cloudflare (US-Hauptsitz, EU Data Boundary für Logs verfügbar).
Empfohlene DNSSEC-fähige DNS-Provider für Proton-Custom-Domains
- deSEC.io (Berlin, kostenlos, DNSSEC by default, REST-API)
- Cloudflare DNS (1-Click, Algorithmus 13 ECDSAP256SHA256)
- IONOS (automatische DNSSEC-Verwaltung bei IONOS-Nameservern)
- Netcup (CCP-Panel, ECDSAP256SHA256)
- Hostpoint (Schweizer Compliance-Match)
DS-Record beim Registrar hinterlegen
Nach DNSSEC-Aktivierung den DS-Record vom DNS-Provider exportieren und beim Registrar Ihrer Domain eintragen. Bei integrierten Setups (DNS-Provider = Registrar) typischerweise automatisch — bei externem Registrar (z.B. internationalem .com bei united-domains oder Squarespace-Domains) ein manueller Schritt.
Vor DNSSEC/DANE/CAA muss die Proton-Mail-MX-Konfiguration stehen: 10 mail.protonmail.ch + 20 mailsec.protonmail.ch. Proton dokumentiert das vollständige Custom-Domain-Setup (DKIM, DMARC, SPF) — siehe MX-Anleitung für Proton Mail.
Proton-Unternehmens-Struktur: Proton AG wurde am 16. Mai 2014 gegründet, hat ihren Sitz in Plan-les-Ouates, Genf, Schweiz, und wird seit Juni 2024 von der gemeinnützigen Proton Foundation kontrolliert (CEO Andy Yen, Vorstand mit Tim Berners-Lee — Wikipedia-Eintrag „Proton AG“, abgerufen 2026-05-18). Schweizer Datensouveränitäts-Schichten: (1) Schweizer Datenschutzrecht — das revidierte Datenschutzgesetz (revDSG) Art. 8 fordert „angemessene technische Maßnahmen“, DNSSEC ist Stand der Technik. (2) Schweizer Bundesgesetz Art. 271 StGB („Verbotene Handlungen für einen fremden Staat“) verbietet Schweizer Unternehmen grundsätzlich, ohne offizielle Schweizer Genehmigung mit ausländischen Behörden zu kooperieren — das limitiert die direkte Anwendbarkeit des US CLOUD Act erheblich. (3) Keine US-Tochtergesellschaft von Proton AG — der US CLOUD Act greift extraterritorial nur über US-Konzernverbindung; bei reiner Schweizer Eigentümerschaft (Proton Foundation, gemeinnützig) ist diese fehlende Verbindung der Anker. Konsequenz für Wolf-Agents-Kunden mit Privacy-First-Anforderungen: Proton + DNSSEC bei deSEC (Berlin EU-Souveränität) oder Hostpoint (Schweizer Souveränität, SWITCH-DS-Sync) bilden die jurisdiktionell konservativste Mail-Compliance-Kette für DACH-Anwaltskanzleien, Ärzte, Journalisten und Berufsgeheimnisträger.
CAA-Records für MTA-STS-Subdomain konfigurieren
Wenn Sie CAA-Records nutzen, autorisieren Sie typischerweise Let's Encrypt für MTA-STS-Zertifikat auf der mta-sts-Subdomain. Proton selbst stellt MTA-STS-Policies für Proton-Hosted-Domains bereit; für Custom-Domains hosten Sie die MTA-STS-Policy selbst.
; CAA-Records für Proton-Mail-Custom-Domain (RFC 8659)
ihre-domain.com. IN CAA 0 issue "letsencrypt.org"
ihre-domain.com. IN CAA 0 issuewild ";"
ihre-domain.com. IN CAA 0 iodef "mailto:security@ihre-domain.com"
; Subdomain-spezifischer CAA für mta-sts
mta-sts.ihre-domain.com. IN CAA 0 issue "letsencrypt.org"Proton publiziert für seine MX-Hostnamen (mail.protonmail.ch, mailsec.protonmail.ch) DANE-TLSA-Records — der genaue Status pro MX-Host sollte direkt per dig verifiziert werden, da sich Provider-side-DANE-Politik ändern kann. Damit DANE für Ihren Custom-Domain-Inbound funktioniert, muss DNSSEC am eigenen Apex aktiv sein (sonst werden die Proton-TLSA-Records vom sendenden Mailserver ignoriert).
DNSSEC + DANE + CAA verifizieren
Nach Aktivierung prüfen Sie die vollständige DNSSEC-Kette, den TLSA-Status am Proton-MX-Host und die CAA-Records per dig.
# Proton-MX prüfen (Standard für Custom-Domains)
dig MX ihre-domain.com +short
# Erwartet:
# 10 mail.protonmail.ch.
# 20 mailsec.protonmail.ch.
# DNSSEC der eigenen Zone (externer DNS-Provider)
dig +dnssec MX ihre-domain.com | grep -E "RRSIG|ad;"
# DANE/TLSA am Proton-MX-Host (Proton-side)
dig TLSA _25._tcp.mail.protonmail.ch +short
# Status pro MX-Host kann sich ändern — aktuell prüfen.
# CAA-Records
dig CAA ihre-domain.com +short
dig CAA mta-sts.ihre-domain.com +short
Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Proton-MX-Pattern automatisch (Stack-Detection für *.protonmail.ch), prüft DNSSEC-Kette am externen DNS-Provider, validiert TLSA-Records am Proton-MX-Host und CAA am Apex/MTA-STS-Subdomain.
Häufige Fehler bei DNS-Sicherheit für Proton Mail
DNSSEC im Proton-Account erwartet
Problem: DNSSEC-Toggle in Proton-Mail-Account gesucht. Ursache: Proton ist Mail-Backend, nicht DNS-Hoster für Custom-Domains. Lösung: DNSSEC beim externen DNS-Provider (deSEC/Cloudflare/IONOS/Netcup/Hostpoint) aktivieren.
DANE-Vorhandensein bei Proton angenommen, ohne dig-Prüfung
Problem: Annahme, dass alle Proton-MX-Hostnamen TLSA-Records haben. Ursache: Provider-side-DANE-Status kann sich pro MX-Host und über Zeit ändern. Lösung: Per dig TLSA _25._tcp.mail.protonmail.ch +short und dig TLSA _25._tcp.mailsec.protonmail.ch +short aktuellen Status verifizieren.
Eigenes DNSSEC vergessen — Proton-TLSA wirkungslos
Problem: Proton hat TLSA-Records am MX, aber eigene Zone ist nicht DNSSEC-signiert — DANE wird vom sendenden Mailserver ignoriert. Ursache: DANE-Validierung verlangt DNSSEC entlang der gesamten Lookup-Kette. Lösung: DNSSEC am eigenen Apex aktivieren (Schritt 1), erst dann ist DANE für eingehenden Mail-Traffic wirksam.
Compliance: NIS2, revDSG Art. 8 und Anti-CLOUD-Act mit Proton Mail
Proton AG (Genf, Schweiz) ist eigentümergeführt, alle Server in der Schweiz, ISO/IEC 27001-zertifiziert — Schweizer Datensouveränität ohne US-CLOUD-Act-Risiko. Eine Proton-Mail-Custom-Domain mit DNSSEC (beim externen DNS-Provider) und CAA-Records ist der prüfbare Nachweis für Schweizer revDSG Art. 8 (Datensicherheit) und NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Für DACH-Kunden in regulierten Branchen mit Privacy-First-Anforderungen (Anwaltskanzleien, Ärzte, Journalisten) ist Proton + DNSSEC bei deSEC/Hostpoint die natürliche Kombination.
Proton DNS-Compliance-Stack: Schweizer revDSG Art. 8 + NIS2 lit. h (DNSSEC bei externem DNS + CAA für mta-sts) + NIS2 lit. c (Proton-Multi-RZ-Genf) + Anti-CLOUD-Act (Schweizer Jurisdiktion). Wolf-Agents-USP: Der Email Security Check erkennt Proton-MX-Pattern (Stack-Detection für mail/mailsec.protonmail.ch), prüft DNSSEC am externen DNS-Provider, validiert TLSA an beiden Proton-MX-Hostnamen und CAA am Apex/MTA-STS-Subdomain. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.
DNS-Sicherheits-Anleitung für weitere Provider:
Wie steht Ihre Domain bei DNS-Sicherheit · Proton Mail?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.